Качество, безопасность, конфиденциальность и соответствие нормативным требованиям

Цель EcoVadis — «направлять все компании к достижению экологически устойчивого мира», а также реализовать четыре основные задачи EcoVadis:

1. Предоставлять независимые, надежные и практичные рейтинги и аналитические материалы по устойчивому развитию благодаря совершенной методологии.
2. Дать возможность наибольшему числу компаний постоянно совершенствовать свои деловые практики и вносить вклад в создание регенеративной и справедливой экономики.
3. Создавать инклюзивную среду обучения для наших сотрудников, обеспечивая значимую работу и расширяя возможности будущих поколений специалистов по устойчивому развитию.
4. Способствовать коллективным действиям в рамках нашей экосистемы для ускорения перехода к устойчивому миру.

Компания EcoVadis разработала систему менеджмента качества (СМК), которая сертифицирована по стандарту ISO 9001. Мы активно стремимся к постоянному улучшению качества через систему управления процессами, которая позволяет каждому сотруднику эффективно работать в безопасной и стимулирующей рабочей среде. В основе этой системы лежит наша самостоятельно разработанная ИТ-платформа, на которой выполняются все рабочие процессы. Для совершенствования процессов мы регулярно прибегаем к помощи специализированных органов и отделов, таких как наш комитет по методологии.

• Программы обучения
  сотрудников
  • В рамках введения в должность все новые сотрудники осваивают программы обучения по обеспечению качества данных и информационной безопасности. В программах предусмотрены контрольные вопросы и проходные баллы. Все сотрудники также проходят обязательное ежегодное повышение квалификации с последующими контрольными опросами.
• Корректирующие и предупреждающие действия
  • Мы постоянно совершенствуем процессы, определяем области для улучшения, чтобы устранить несоответствия или предотвратить их повторное возникновение. Одним из примеров является использование инструмента «Качество» для выявления несоответствий и обеспечения обратной связи в процессе оценки.
• Процесс управления инцидентами
  • С помощью платформы управления инцидентами мы регистрируем и обрабатываем жалобы клиентов и поставщиков, а также внутренние проблемы. Все инциденты регулярно рассматриваются заинтересованными сторонами и решаются в установленные сроки.
• Внутренний аудит
  • Программа внутреннего аудита рассчитана на 3 года, при этом аудит информационной безопасности проводится дважды в год, а все внутренние процессы проходят аудит качества не реже одного раза в год. Результаты аудита рассматриваются и обсуждаются во время совещаний в рамках Обзора руководства.

EcoVadis предоставляет услуги по составлению комплексных рейтингов устойчивого развития компаний, обеспечиваемые с помощью глобальной облачной SaaS-платформы, размещенной в Microsoft Azure — одном из самых надежных поставщиков услуг облачного хостинга.

Мы стремимся обеспечить максимальный уровень информационной безопасности и постоянно совершенствоваться для защиты данных всех заинтересованных сторон в условиях меняющегося ландшафта угроз информационной безопасности. По этой причине EcoVadis создала ISMS (Information Security management system [Система управления информационной безопасностью], которая регулярно проходит независимые аудиты, выполняемые третьей стороной, на соответствие стандарту ISO/IEC 27001 (см. сертификат и заявление о применимости).

Наша система ISMS позволяет нам систематически поддерживать информационную безопасность в наших бизнес-процессах и услугах, а также определять и применять необходимые меры безопасности на основе оценки рисков.

Наши политики информационной безопасности регулярно пересматриваются и обновляются, чтобы подтвердить, что их содержание остается своевременным и точным, и по-прежнему соотносится с требованиями к соответствию лучшим отраслевым практикам, применимым к нам.

Мы располагаем специальной внутренней командой, отвечающей за разработку, поддержание и мониторинг информационной безопасности. Приоритеты в рамках нашей организации установлены по всему миру, чтобы обеспечить единое, согласованное видение защиты наших активов.

В EcoVadis мы понимаем, что повышение осведомленности об угрозах информационной безопасности — это постоянный процесс. Наши сотрудники регулярно проходят обучение передовым методам в области ИТ и информационной безопасности в соответствии со стандартами ИТ-безопасности EcoVadis, а также методикам безопасной эксплуатации ИТ-систем.

Мы поддерживаем точную и актуальную инвентаризацию активов, связанных с предоставляемыми услугами, и классифицируем информацию с точки зрения юридических требований, ценности, критичности и чувствительности к несанкционированному раскрытию или изменению.

Azure представляет собой многопользовательскую службу, в которой существует логическое разделение, которое изолирует данные между заказчиками.

Права доступа и привилегии для информационных систем и сетевых доменов EcoVadis должны распределяться на основе конкретных требований должностной функции пользователя (RBAC), при этом мы следуем принципам доступа к информации по принципу служебной необходимости («положено знать») и минимума полномочий («наименьших привилегий»).

Наши клиенты управляют доступом самостоятельно: администратор клиентской платформы может создавать и деактивировать пользователей по мере необходимости. Доступ к платформе можно получить, используя имя пользователя и пароль. Мы также предоставляем возможность аутентификации через систему единого входа (SSO) для запрашивающих компаний, и вы можете связаться со своим обычным контактным лицом в отделе продаж для получения дополнительной информации.

Данные шифруются (в неактивном состоянии и при передаче) с использованием одобренных в отрасли алгоритмов и методов шифрования. Мы следуем лучшим отраслевым практикам для безопасного хранения и управления учетными цифровыми идентификационными данными в нашей среде.

Наши платформы размещаются в центрах обработки данных Microsoft Azure, расположенных в ЕС. В соответствии с моделью совместной ответственности в облаке, обеспечение средств контроля физической безопасности входит в обязанности корпорации Майкрософт. Дополнительную информацию о средствах контроля можно найти здесь.

Мы следим за тем, чтобы изменения в организации, бизнес-процессах, средствах обработки информации и системах, влияющие на информационную безопасность, находились под контролем. Мы внедрили технологии и процессы мониторинга и обнаружения для выявления, предотвращения уязвимостей перед вредоносными программами или других событий, связанных с безопасностью, в нашей инфраструктуре и управления ими. Используются передовые методы повышения безопасности, такие как CIS (Center for Internet Security [Центр интернет-безопасности]) для операционных систем и руководства Microsoft Azure по усилению безопасности для облачных служб.

Сетевой доступ к внутренним службам и серверам ограничен и защищен. У нас имеется межсетевой экран веб-приложения (Web Application Firewall) (подробности см. здесь), и мы используем Azure Front Door — современный облачный сервис на основе сети доставки контента (CDN), который обеспечивает высокую производительность, масштабируемость и безопасный пользовательский интерфейс.

Мы используем отраслевые стандарты для обеспечения безопасности наших систем и жизненного цикла разработки программного обеспечения (SDLC). Гарантируется, что новые разработки проходят надлежащие процессы тестирования и проверки перед запуском в эксплуатацию. Среды разработки, тестирования и эксплуатации разделены.

Мы установили требования по информационной безопасности для поставщиков, которые могут получать доступ, обрабатывать, хранить, передавать или предоставлять компоненты ИТ-инфраструктуры для информации организации. Мы также проводим оценки рисков кибербезопасности и безопасности данных поставщиков, имеющих доступ к нашей сети, данным или другой конфиденциальной информации.

Мы постоянно работаем над обеспечением высокой безопасности услуг для наших клиентов, однако инциденты — это неизбежная реальность, которой необходимо тщательно управлять. В EcoVadis применяются соответствующие меры для обеспечения последовательного и эффективного подхода к управлению инцидентами информационной безопасности. Наш процесс управления инцидентами безопасности включает, в частности: уведомление клиентов, ведение письменных процедур, которым необходимо следовать в случае инцидента безопасности, и использование всех разумных усилий для смягчения последствий инцидента.

У нас также есть Центр обеспечения безопасности, который круглосуточно обеспечивает мониторинг и защиту наших систем и данных.

Мы стремимся к тому, чтобы средства обработки информации были реализованы с резервированием, достаточным для удовлетворения требований доступности (см. отчет о времени безотказной работы нашей платформы, в котором постоянно отслеживаются производительность и доступность служб, а также реальный опыт пользователей).

Резервное копирование выполняется и тестируется регулярно в соответствии с установленной политикой резервного копирования.

Чтобы получить более полное представление о соблюдении требований информационной безопасности, мы проводим несколько видов аудита и технических проверок:

– Проверки инфраструктуры

– Проверки кода (SAST: Static Application Security Testing (Статическое тестирование безопасности приложений), SCA: Software Composition Analysis (Анализ композиции программного обеспечения))

– Тестирование веб-приложений на защиту от несанкционированного доступа (проводится не реже одного раза в год внешней компанией)

– Внешнее управление средствами безопасности

– Внутренние оценки рисков

– Аудиты в рамках сертификации ISO 27001

Мы заполнили несколько стандартных анкет. Доступ к результату может быть предоставлен по требованию

• Cybervadis
• CyberGRX
• SecurityScorecard:

• Whistic

Сертификаты Microsoft Azure доступны на портале Service Trust.

Библиотеки с открытым исходным кодом или компоненты, связанные с любой из применимых услуг. Решение EcoVadis иногда включает или зависит от библиотек с открытым исходным кодом. В соответствии с лицензионными требованиями библиотек с открытым исходным кодом и моральным правом лицензиата на авторство, ниже приведен список программного обеспечения с открытым исходным кодом, используемого для создания наших продуктов. Следует иметь в виду, что вся информация здесь предоставляется по принципу «как есть» и может быть изменена лицензиатом:

* Приложение динамически связано с лицензией LGPL, следовательно, собственный код может оставаться закрытым.

EcoVadis ответственно подходит к разработке, внедрению и развертыванию ИИ-решений, уделяя особое внимание объяснимости моделей, мониторингу и соблюдению основных принципов надежного искусственного интеллекта. На фоне развития генеративного ИИ мы инвестируем в безопасность и надлежащий контроль искусственного интеллекта, чтобы гарантировать, что решения генеративного ИИ были снабжены соответствующими защитными механизмами.

Компания EcoVadis считает, что GDPR является важным шагом для усиления и гармонизации защиты персональных данных граждан ЕС. Как контроллер данных компания Ecovadis обязуется соблюдать правила и внедрять лучшие практики.

Ecovadis использует стандарт ISO 27001, по которому мы сертифицированы, в качестве основы и интегрирует аспекты защиты персональных данных в свою систему управления. Мы используем дополнительный стандарт ISO 27701 для выполнения требований GDPR. Наша практика защиты данных и соответствие требованиям подтверждается сторонним аудитом.

Для обработки данных, осуществляемой за пределами ЕС, мы заключили стандартные договорные положения (СДП) с нашими дочерними компаниями.

Мы всегда тщательно выбираем наших поставщиков (процессоров). Для работы с нами поставщики должны заключить соглашение о защите данных, а также о соблюдении стандартных договорных положений (СДП) или обязательных корпоративных правил (BCR) в случае обработки данных за пределами ЕЭЗ. Мы стремимся выбирать подписки поставщиков таким образом, чтобы данные размещались на серверах, расположенных в Европе. Для предоставления наших услуг мы используем следующих процессоров:

Мы полагаемся на рекомендации, выпущенные французским органом по защите данных CNIL и Европейским советом по защите данных относительно дополнительных мер, которые могут потребоваться для возможной передачи данных в США на основе стандартных условий договора (Standard Contractual Clauses, SCC) или обязательных корпоративных правил (Binding Corporate Rules, BCR).

Узнайте больше в нашем заявлении о конфиденциальности данных.

EcoVadis обязуется соблюдать все действующие законы и правила, применимые к оператору онлайн-услуг общего назначения, включая, без ограничения, законы Франции и США, в отношении своих собственных местонахождений предоставления услуг.

Ограничения по месту назначения

Принимая во внимание общие деловые риски, продукты и услуги Ecovadis недоступны для экспорта, повторного экспорта, передачи и/или использования в следующих странах/регионах (могут быть изменены без уведомления):

• регионы Крым, Донецк и Луганск
• Куба
• Иран
• Северная Корея
• Сирия

Кроме того, к транзакциям с определенными местами назначения, представляющими повышенный риск экспортного контроля или санкций, или связанными с ними, предъявляются повышенные требования комплексной юридической оценки.

Ограничения для конечных пользователей

Продукты и услуги EcoVadis недоступны юридическим и физическим лицам, операции с которыми запрещены в соответствии с действующими законами об экспортном контроле и санкциях, включая лиц, перечисленных в любых применимых списках сторон, находящихся под санкциями (например, санкционный список Европейского союза, списки лиц особой категории США, OFAC, санкции Совета Безопасности ООН, списки, составляемые странами, в которых компания EcoVadis ведет деятельность).

Ограничения конечного использования

Услуги EcoVadis не должны использоваться в целях, запрещенных применимым экспортным законодательством, включая, помимо прочих, разработку, проектирование, производство или изготовление ядерного, химического или биологического оружия массового поражения.

Мы в компании EcoVadis уверены, что деловая этика и добросовестность имеют значение, когда речь идет о непрерывности процессов, репутации и успехе бизнеса. Мы приняли Этический кодекс и другие политики и процедуры. Мы придерживаемся самых высоких стандартов по тем же критериям, которые мы используем в процессе оценки, и мы делаем все возможное для соблюдения действующих законов и правил.

Этический кодекс EcoVadis

Наша компания была основана с уверенностью, что компании могут оказывать огромное положительное влияние на улучшение экологической и социальной обстановки во всем мире, используя для этого цепочки поставок. Мы убеждены, что компании оцениваются и вознаграждаются не только по их финансовым показателям, но и по показателям их экологической и социальной устойчивости. Этический кодекс EcoVadis представляет собой набор руководящих принципов, помогающих нам принимать решения честно и справедливо. В нем изложены модели профессионального поведения, которые необходимо реализовывать и соблюдать при исполнении своих обязанностей в рабочей среде.

Прочитать этический кодекс

Кодекс поведения поставщиков EcoVadis

В Кодексе поведения поставщиков EcoVadis содержатся обязательства следовать этическим, экологически устойчивым и ответственным методам ведения бизнеса в рамках всей нашей цепочки поставок. Он устанавливает четкие требования для наших поставщиков с особым вниманием таким ключевым темам, как трудовые права и права человека, охрана окружающей среды, добросовестность бизнеса и устойчивые закупки. Придерживаясь этих принципов, поставщики играют важную роль в обеспечении прозрачности и подотчетности, чем вносят свой вклад в формирование более устойчивого будущего. Кодекс отражает стремление компании EcoVadis к положительному воздействию через сотрудничество и партнерство в сфере этики.

Ознакомьтесь с Кодексом поведения поставщиков

Заявление компании EcoVadis по проблематике современного рабства

В заявлении изложены шаги, которые мы предприняли и продолжаем предпринимать для того, чтобы современное рабство и торговля людьми не присутствовали в нашей организации или в нашей коммерческой деятельности, в том числе в рамках цепочек поставок.

Ознакомьтесь с нашим заявлением за 2021 год

Ознакомьтесь с нашим заявлением за 2022 год

Ознакомьтесь с нашим заявлением за 2023 год

Компания EcoVadis хотела бы отметить ценный вклад следующих лиц, которые помогли сделать систему EcoVadis более безопасной.